Confidential and Proprietary - Internal Audit Consulting...
Transcript of Confidential and Proprietary - Internal Audit Consulting...
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
COBIT – Control Objectives for Information Technology e o
Cenário Regulatório-Tecnológico de TI
Visão GeralJorge Fernandes
Julho de 2004
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Referências1. COBIT® 3rd Edition Control Objectives,
IT Governance Institute, 2000.2. COBIT® 3rd Edition Management
Guidelines, IT Governance Institute, 2000.
3. COBIT® 3rd Edition Implementation Toolset, IT Governance Institute, 2000.
4. COBIT® 3rd Edition Framework, IT Governance Institute, 2000.
5. COBIT® 3rd Edition Executive Summary, IT Governance Institute, 2000.
6. COBIT® 3rd Edition Audit Guidelines, IT Governance Institute, 2000.
7. IT Control Objectives for Sarbanes-Oxley, IT Governance Institute, 2004.
8. Board Briefing on IT Governance, 2nd Edition. IT Governance Institute, 2003.
9. COBIT ® MAPPING: Overview of International IT Guidance, IT Governance Institute, 2004.
10. Control Objectives for Enterprise Governance. IT Governance Institute, 1999.
11. Institute of Internal Auditors, COBIT Presentation, October 9, 2001.
12. Measuring and Improving Corporate IT Performance through the Balanced Scorecard, Wim Van Grembergen, 2000.
13. The Balanced Scorecard and IT Governance, Wim Van Grembergen,2000.
14. IS AUDITING GUIDELINE, IT GOVERNANCE DOCUMENT # 060.020.050. 2002.
15. Maximizing the Success of Chief Information Officers: Learning From Leading Organizations. GAO UnitedStates General Accounting OfficeExecutive Guide, 2001.
16. OECD Principles of Corporate Governance. OECD. 2004.
17. ISACA Web Site. www.isaca.org
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
O Cenário Regulatório-Tecnológico de TI
OECD Corporate Governance
Sarbanes-Oxley Act
EnterpriseGovernance
COSO Framework for Internal Auditing
Control Objectives for Information Technology - COBIT
Information TechnologyInfrastructure Library - ITIL
Capability Maturity Models
Business Processes
IT Governance
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Modelo de Gestão Baseado no Conhecimento [8]
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Objetivos do COBIT• Guia abrangente para usuários, auditores, gestores e
donos de processos de negócios que permite a Governança de TI
• Um meta-método (framework) para alinhar– Riscos de negócio– Necessidades de controle– Necessidades técnicas
• Visando a– Maximizar benefícios da TI– Capitalizar em oportunidades de TI– Ganhar vantagem competitiva em TI
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Framework paraGovernança de TI [8]
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Os processos de negócios recebem dos recursos de TI as informação conforme suas necessidades? [1]
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Requisitos dos Negócios sobre a TI= Information Criteria [1]
• Effectiveness – Informação deve ser relevante e pertinente aos processos de negócios bem como ser entregue com temporalidade, corretude, consistência, e usabilidade
• Efficiency – Informação deve ser provida com o uso de recursos da forma maisprodutiva e econômica
• Confidentiality – Informação sensível deve ser protegida de acesso não autorizado
• Integrity – Informação deve ser precisa e completa, bem como sua validade deve estar em concordância com o conjunto de valores e expectativas do negócio
• Availability – Informação deve ser disponível quando requerida pelo processo de negócio agora e no futuro, e deste modo deve ser salvaguardada enquanto recurso
• Compliance – Informação deve estar em conformidade com leis, regulamentos, e arranjos contratuais qos quais os processos de negócios estão sujeitos
• Reliability of Information - Informação deve ser provida de forma apropriada, permitindo seu uso na operação da organização, na publicação de relatórios financeiros para seus usuários e órgãos fiscalizadores, conforme leis e regulamentos.
Qua
lity
Secu
rity
Fidu
ciar
y
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Recursos de TI [1]• Data: Objetos de dados, estruturados ou
não (texto, gráficos, som, etc)• Application Systems: a soma de todos os
procedimentos manuais e programados• Technology: hardware, sistema
operacional, SGBDs, redes, multimídia, etc• Facilities: Infra-estrutura física e de suporte
aos sistemas de informação• People: Habilidades dos empregados,
disponibilidade e produtividade no planejamento, organização, aquisição, entrega, suporte e monitoramento de TI
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Domains
Processes
Activities
Domínios e Processos de TI [1]
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
O Cubo COBIT [1]
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
O COBIT Framework
Guias Gerenciais Objetivos de ControleDetalhados
Guias de Auditoria
Modelos de Maturidade
Fatores Críticos de Sucesso - CSF
Indicadores-Chave de Metas - KGI
Indicadores-Chave de Desempenho - KPI
Visão Executiva
COBIT Framework com Objetivos de Controle de Alto Nível
Ferramentas deImplementação
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Framework COBIT
Objetivos de Controle de Alto Nível
• Definem 34 áreas de processos de TI• Agrupados em 4 domínios
– PO - Planejamento e Organização– AI - Aquisição e Implementação– DS - Entrega e Suporte– M - Monitoramento
• Garante a implementação de um sistema de controle adequado para o ambiente de TI
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
O C
ubo
CO
BIT
(D
etal
hes)
[1
]
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
318 Objetivos de Controle Detalhados
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Framework COBIT
Management Guidelines [2]
• Link entre Controle de TI e Governança de TI• Responde às seguintes questões:
– Quão longe se deve ir no controle da TI?– O custo do controle justifica os benefícios?– Quais os fatores críticos de sucesso da
organização?– Quais os riscos de não alcance dos objetivos?– Quais as melhores práticas?– Como nos comparamos com outras
organizações?– Qual estratégia de melhoria adotar?
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Management Guidelines: Elementos
• FCS – Fatores Críticos de Sucesso• KGI - Indicadores Chave de Metas• KPI - Indicadores Chave de
Desempenho• Modelo de Maturidade
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Fatores Críticos de Sucesso
• O que é mais importante a fazer para garantir que os processos de TI atingirão suas metas
• Exemplos:– Processo definido e documentado– Políticas definidas e documentadas– Contabilização e rastreabilidade– Forte compromisso e apoio da administração– Comunicação apropriada a pessoas internas e
externas– Práticas de medição consistentes
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Indicadores Chave de Metas (KGI) e Desempenho (KPI) no IT Balanced Score Card [12, 13]
Financial Perspective(Corporate Contribution)Objectives Measures
Internal Business Process Perspective
(Operational Excelence)Objectives Measures
Customer Perspective(User Perspective)Objectives Measures
Learning and Growth Perspective
(Future Orientation)Objectives Measures
How do we look to shareholders ?
How do customerssee us ?
What must weexcel at ?
Can we continue to improve and create value ?
Source: Robert S. Kaplan and David P. Norton, 1994
KGI
KGI
KPI
KPI
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Modelo de Maturidade de Processos [2]
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Modelo Genérico de Maturidade [2]
0 Non-Existent. Complete lack of any recognisable processes. The organisation has not even recognised that there is an issue to be addressed.1 Initial. There is evidence that the organisation has recognised that the issues exist and need to be addressed. There are however no standardised processes but instead there are ad hoc approaches that tend to be applied on an individual or case by case basis. The overall approach to management is disorganised.2 Repeatable. Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. There is no formal training or communication of standard procedures and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals and therefore errors are likely.3 Defined. Procedures have been standardised and documented, and communicated through training. It is however left to the individual to follow these processes, and it is unlikely that deviations will be detected. The procedures themselves are not sophisticated but are the formalisation of existing practices.4 Managed. It is possible to monitor and measure compliance with procedures and to take action where processes appear not to be working effectively. Processes are under constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way.5 Optimised. Processes have been refined to a level of best practice, based on the results of continuous improvement and maturity modelling with other organisations. IT is used in an integrated way to automate the workflow, providing tools to improve quality and effectiveness, making the enterprise quick to adapt.
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Benchmarking [17]
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Audit Guidelinese Controle Interno
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Requisitos do Processo de Auditoria
• Definição do escopo– Processos de negócios envolvidos– Plataformas, sistemas e interconectividade– Papéis, responsabilidades e estrutura organizacional
• Identificar requisitos de informação relevantes para o processo de negócio
• Identificar riscos inerentes de TI e nível geral de controle
• Selecionar procesos e plataformas para auditar• Definir estratégia de auditoria
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
COBIT Generic Audit Guidelines
• Obtendo Compreensão dos Requisitos do Negócio, Riscos, Medidas de Controle declaradas– Entrevista e coleta de dados
• Avaliando adequabilidade dos controles declarados• Medindo Conformidade
– Testando se os controles declarados funcionam como descritos, de forma consistente e contínua
• Comprovando Riscos dos objetivos de controle não serem alcançados– Executando técnicas analíticas e alternativas
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Processo Geral de Auditoria [6]
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Princípios Gerais de Contabilidade Pública (US PCAOB) e o COBIT [7]
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
Um Framework
para Implantação de Controle Interno [7]
Confidential and Proprietary - Internal Audit Consulting Group Use Only
COBIT e o Cenário Regulatório-Tecnológico de TI, Jorge Cabral Fernandes ([email protected]), 2004.
COBIT – Control Objectives for Information Technology e o
Cenário Regulatório-Tecnológico de TI
Visão GeralJorge Fernandes
Julho de 2004