Post on 05-Jan-2016
description
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 1
SOXSOX
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 2
Lei SarbanesLei Sarbanes--OxleyOxley
Governança Corporativa
Resultados Financeiros
Controles
Auditoria
Mercado
EMPRESA
EMPRESA
EMPRESA
EMPRESA
EMPRESA
MERCADOMERCADO
USAUSA
MERCADOMERCADO
OUTROSOUTROS
PAÍSESPAÍSES
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 3
Fraudes e Crimes FinanceirosFraudes e Crimes Financeiros
Grande Stress no país
Grande presença da mídia
Auditorias governamentais
Processo na Justiça (envolvidos)
Sérios problemas com as empresas envolvidas
Perdas para os acionistas
Desemprego
Descrédito geral do mercado (Bolsa e instituições)
Lei SarbanesLei Sarbanes--OxleyOxley
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 4
Sarbanes e Oxley – Senadores americanos
Desenvolveram e aprovaram uma lei no Senado (2002)
Define regras de governança corporativa
Define controles a serem implementados
Define responsabilidades nas empresas
Define critérios para auditorias
Define tipos e formas de punições
Abrangência da Lei – USA e suas filiais no mundo
Lei SarbanesLei Sarbanes--OxleyOxley
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 5
Seção 302Seção 302 - Diretores Executivos e Diretores financeiros são
explicitamente responsáveis por estabelecer, avaliar
e monitorar a eficácia dos controles internos sobre
os relatórios e divulgações financeiras.
Seção 404Seção 404 – Avaliação anual dos controles e procedimentos
internos para a emissão dos relatórios
financeiros (empresa). Um auditor independente
emitirá um relatório distinto que ateste a asserção
da administração sobre a eficácia dos controles e
procedimentos.
Seção 906Seção 906 – .... Multas de até US$ 5 Milhões e até 20 anos de
prisão.
Lei SarbanesLei Sarbanes--OxleyOxley
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 6
Committee of Sponsoring
Organizations of the
Treadway Commission
Tem um padrão para controles que tem sido
recomendado.
Definiu o conceito de controles
5 componentes do COSO :
1. Ambiente de Controle
2. Avaliação de Risco
3. Atividades de Controle
4. Informações e Comunicações
5. Monitoramento
Ambiente de ControleAmbiente de Controle Integridade e Valores Éticos
Compromisso com Competência
Filosofia e Estilo Operacional
Estrutura Organizacional
Alocação de Autoridade e Responsabilidades
Diretrizes e Práticas de Recursos Humanos
Avaliação de RiscoAvaliação de Risco Objetivos de toda a Entidade e de Atividades
Sistemas de Informática (Sistemas de Gestão)
Gestão de Mudanças
Atividades de ControleAtividades de Controle Diretrizes, Procedimentos, Práticas
Bens de Capital
Informações e ComunicaçõesInformações e Comunicações Qualidade das Informações
Formas de Comunicações
MonitoramentoMonitoramento Monitoramento Contínuo
Avaliações Individuais
Lei SarbanesLei Sarbanes--OxleyOxley
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 7
Enterprise Risk Management Enterprise Risk Management —— Integrated Framework Integrated Framework
Lei SarbanesLei Sarbanes--OxleyOxley
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 8
Enterprise Risk Management Enterprise Risk Management —— Integrated Framework Integrated Framework
Control It
Share or
Transfer It
Diversify or
Avoid It
Risk
Management
Process
Level
Activity
Level
Entity Level
Risk
Monitoring
Identification
Measurement
Prioritization
Risk
Assessment
Risk Analysis
Lei SarbanesLei Sarbanes--OxleyOxley
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 9
Roteiro para implementação da SOX:Roteiro para implementação da SOX:
Mapeamento dos processos chaves que impactam as Demonstrações
Financeiras.
Verificação dos controles existentes nos processos.
Verificação da suficiência dos controles.
Testes dos controles.
Documentação das evidencias dos testes.
Planos de ação de correção de deficiências.
Responsáveis pelas ações corretivas.
Lei SarbanesLei Sarbanes--OxleyOxley
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 10
CMMICMMI
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 11
CMMI CMMI -- CapabilityCapability MaturityMaturity ModelModel IntegrationIntegration
SWSW--CMM (CMM (Software Software CapabilityCapability MaturityMaturity ModelModel):): este modelo provia informações
para o aprimoramento de processos de desenvolvimento de software,
apresentando as práticas chave para que as empresas pudessem atingir um maior
nível de maturidade.
SESE--CMM (CMM (Systems Systems EngineeringEngineering CapabilityCapability MaturityMaturity ModelModel):): este modelo provia
informações sobre os elementos necessários para a implantação de um adequado
processo de engenharia de sistemas nas empresas.
IPDIPD--CMM (CMM (IntegratedIntegrated ProductProduct DevelopmentDevelopment CapabilityCapability MaturityMaturity ModelModel):): este
modelo provia informações para o aprimoramento de processos de
desenvolvimento que exigem a integração de múltiplas disciplinas ao longo do
ciclo de vida do produto, de forma a atender as necessidades do cliente.
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 12
CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration No ano de 2001, estes três modelos de maturidade descritos anteriormente
foram integrados em um modelo mais abrangente, denominado CMMI
(Capability Maturity Model Integration). A partir desta integração, os três
modelos deixaram de ser mantidos pelo SEI. (Software Engineering Institute)
5. Otimizado
4. Gerenciável
3. Definido
2. Repetível
1. Inicial
Controle Básico
de
Gerenciamento
Definição do
Processo
Medição do
Processo
Controle do
Processo
Níveis de
Maturidade
de Processo
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 13
CMMICMMI
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 14
CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration
Nível 1: Inicial
Organizações que se encontram no nível 1 do CMMI, estão no estágio Inicial,
onde os processos são caóticos e definidos como ad hoc [1].
O ambiente de desenvolvimento é instável e apesar de geralmente obterem
o produto final desejado, parâmetros como prazo e custo do projeto são
freqüentemente maiores do que o esperado.
[1] Processos classificados como “ad hoc” são aqueles realizados sem planejamento
prévio, sem preparação.
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 15
CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration
Nível 2: Repetível ou Gerenciado
Para prosseguir do nível 1 para o nível 2, Repetível, a organização deve
passar a utilizar processos básicos de gerência de projetos no sentido de
controlar basicamente os custos, prazos e funcionalidades do software
durante o processo de desenvolvimento ao longo do projeto.
As atividades a serem desenvolvidas no projeto são devidamente planejadas
e documentadas com o acompanhamento da execução e das métricas de
controle. O objetivo de se manter um processo controlado está em executar
as práticas planejadas inclusive nos momentos mais críticos do projeto. Além
disso, os procedimentos planejados podem ser repetidos em outros projetos.
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 16
CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration
Nível 2: Repetível
Gerência de Requisitos
Planejamento de Projeto
Controle e Monitoramento de Projeto
Gerência de Contrato de Fornecedores
Medição e Análise
Garantia de Qualidade do Processo e do Produto
Gerência de Configuração
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 17
CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration
Nível 3: Definido
Uma organização classifica-se no nível 3 de maturidade quando, além de
desenvolver todas as atividades de gerência, planejamento,
desenvolvimento, medição e controle contidos no nível 2, os processos
passam a ser desenvolvidos com base em padrões, procedimentos,
ferramentas e métodos. Além disso, no nível Definido os processos são
estruturados de forma mais detalhada do que no nível Repetível anterior.
Os padrões de processos estabelecidos neste nível de maturidade são tanto
aplicáveis para um determinado projeto de software, quanto para diferentes
projetos desenvolvidos em toda a organização. O mesmo não ocorre em
organizações no nível Repetível, onde os padrões de processo estabelecidos
são geralmente particulares a um projeto.
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 18
CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration
Nível 3: Definido
Desenvolvimento de Requisitos
Solução Técnica
Integração do Produto
Verificação
Validação
Foco do Processo Organizacional
Definição do Processo Organizacional
Treinamento Organizacional
Gerência Integrada de Projeto
Gerência de Riscos
Análise de Decisão e Resolução
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 19
CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration
Nível 4: Gerenciável ou gerenciado quantitativamente
Uma organização classifica-se no nível 4 de maturidade quando, além de
desenvolver todas as atividades de padronizações contidas no nível 3, são
realizados controle quantitativos de qualidade e desempenho do processo.
Aplica-se uma gerência mais detalhada de métricas e estatísticas, de forma
que se estabeleça uma base de controle quantitativo de todo o processo de
desenvolvimento de software.
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 20
CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration
Nível 4: Gerenciável
Desempenho do Processo Organizacional
Gerência Quantitativa de Projeto
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 21
CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration
Nível 5: Otimizado
Uma organização classifica-se no nível 5 de maturidade quando, além de
desenvolver controles quantitativos de qualidade e desempenho contidos no
nível 4, promove o aperfeiçoamento do processo de desenvolvimento de
software a partir dos planos de qualidade e das métricas obtidas em
avaliações dos processos. As atividades desenvolvidas ao longo dos processos
são avaliadas de forma a prover dados significativos passíveis de serem
analisados. A partir destas análises identificam-se os pontos do processo que
podem ser aprimorados com base na experiência, nas “lições aprendidas”.
Diferentemente do nível Gerenciável, onde a análise quantitativa é aplicada
para o aprimoramento de projetos individuais, no nível Otimizado analisam-
se os resultados de diversos projetos e identificam-se melhorias a serem
introduzidas no processo geral da organização, de forma que possam ser
aplicadas em qualquer projeto e não somente em um projeto específico.
Governança de Tecnologia da Informação
Profª Gislaine Stachissini 22
CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration
Nível 5: Otimizado
Inovação Organizacional e Implantação
Análise Causal e Resolução