Embed Size (px)
Citation preview
COSO
COBIT
ISO 17799
Objetivos
Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas das Definições de Controles Internos Discutir sobre ética e cultura de controle Convivência com fraudes e usos indevidos de informações Compreender os objetivos do controle Modelo de controle – Coso, Cobit e NBR 17999 Estrutura de controle
Várias visões do controle
Manter um automóvel na direção certa ? Não reagir a uma agressão Regular a temperatura de um termostáto ? Verificar seu batimento cardíaco ? Voce tem planos para sua vida ? Manter seus comprovantes do Imposto de Renda ? Não sair num dia chuvoso ? Experimentar molho para ver como está o sal ?
O QUE ESTAS ATIVIDADES TEM EM COMUM ?
COSO
Treadway Commission & COSO
– Treadway Commission 1985 Iniciativa independente do setor privado Baseado em estudo de casos de relatórios de fraudes James Treadway (chair), former SEC commissioner &
EVP/Gen. Counsel Paine Webber 1992 – Publicada a Internal Control Integrated
Framework
– Committee of Sponsoring Organizations
Commitee of Sposoring Organization
American Institute of Certifield Public Accountants
Institute of Internal Auditors American Accouting Asociation Institute of Management Accountants Financial Executives Institute
Conceito de controle - coso
Controle é definido como um processo, efetuado pelos membros de uma instituição, (dirigentes, gerentes e outros níveis), desenvolvido para dar razoável garantia de cumprimento dos objetivos das seguintes categorias:
1) Efetividade e eficiência das operações 2) Confiabilidade dos relatórios financeiros 3) Em consonância com as normas e leis
Razões para se ter controle ?
Assegurar o alcance de objetivosMinimizar os riscos não previstosConscientização em relação a imagemÊnfase a governança corporativaResponsabilidade legal dos gestoresEvitar fraudes
Conceitos do Coso
É um processo, significa que é um meio para atingir um determinado fim e não um fim em si mesmo,
É influenciado por pessoas, não por normas, políticas, manuais.
Espera dar razoável segurança, não segurança absoluta para o gestor,
É criado para atingir um ou mais objetivos separados mas se sobrepõe a áreas
COMPONENTES DO COSO
Ambiente de controle Avaliação de risco Atividades de controle Informação e comunicação, Monitoramento
Pirâmide coso
• Monitoração
Atividades de controles
Avaliação do risco
• Informação e comunicação
• Meio ambiente
AMBIENTE DO COSO
Integridade e valores éticos Filosofia da gerência Compromisso com a competência Ação da alta administração Estrutura organizacional Definição das responsabilidades Políticas de RH Conscientização
Avaliação do risco
Abrangência dos objetivos da organização
Nível dos objetivos das atividade
Riscos
Gerenciamento dos riscos
Avaliação do risco
Avaliação de Riscos– O controle interno deve ser capaz de identificar
os riscos a que a organização está exposta tanto riscos internos quanto externos
– identificação deve ser conjugada com uma avaliação da severidade do risco e de seu impacto nas atividades da instituição
Atividades de controle
Revisão pela alta administração do plano de controle
Gestores funcionais ou Gerentes operacionais,
Sistema de informações Controles físicos Indicadores de performance
Atividades de controle
Atividade de controle– As atividades de controle devem ser realizadas
diariamente– Não pode prescindir de um sistema de verificação do
cumprimento das normas internas e externas (ComplianceCompliance)
– A estrutura deve garantir a segregação de funções entre áreas que possa haver conflito de interesse
Informações e comunicações
Deve haver um sistema de informações que assegure que a mesma chegue à pessoa certa, na hora certa com a qualidade necessária para execução da tarefa ou da tomada de decisão.
Informações válidas Completas Exatas Na hora certa para a pessoa adequada.
Monitoramento
Um processo contínuo de monitoramento, Avaliações separadas, Sistema de relatórios das deficiências Tomadas de decisões no final do processo
É o mecanismos para constatar se o controle está sendo efetivo.
COBIT
COBIT
Control Objectives for information and Related Tecnology
Desenvolvido e mantido pela IT Governance Institute (ITGI) que faz parte do ISACA –Information Systems Audit and Control Association,
publicada a 1.a edição em 1996 e foi baseado num documento chamado Objetivos de Controle do Isaca.
COBIT - Visão Geral
Controles voltados para os negócios Controles voltado para área de tecnologia
O Cobit busca fazer esta integração visando a TI com os objetivos dos negócios.
Tem como característica a incorporação do conceito de controle interno do Coso, aplicando-se na área de tecnologia.
Princípios da estruturaPrincípios da estrutura
Requerimentos de Negócio
Processos de TIRecursos de TI
Estrutura do Cobit
Domínios – 4 Processo ou níveis de objetivos de controle
– 34 Controles detalhados - 318
Domínios
Planejamento e organização Aquisição e implementação Entrega e suporte Monitoramento
Planejamento e Organização
PO1 Definição plano estratégico TI PO2 Definição arquitetura de informação PO3 Determinação direcionamento tecnológico PO4 Definição organização TI e relacionamentos PO5 Gerenciamento do investimento de TI PO6 Comunicação de objetivos e direcionamento PO7 Gerenciamento de recursos humanos PO8 Assegurar compliance com órgãos externos PO9 Avaliação de riscos PO10 Gerenciamento de Projetos PO11 Gerenciamento da Qualidade
Aquisição e Implementação
AI1 Identificar soluções AI2 Aquisição e manutenção sistemas aplicativos AI3 Aquisição e manutenção da arquitetura
tecnológica AI4 Desenvolvimento e manutenção procedimentos
de TI AI5 Instalação e homologação de sistemas AI6 Gerenciamento de mudanças
Entrega e suporte
DS1 Definição de níveis de serviço DS2 Gerenciamento de serviços de terceiros DS3 Gerenciamento de performance e capacidade DS4 Assegurar continuidade dos serviços DS5 Assegurar segurança dos sistemas DS6 Identificar e atribuir custos DS7 Treinamento de usuários DS8 Assessorar os clientes internos de TI DS9 Gerenciamento das configurações DS10 Gerenciamento de problemas e incidentes DS11 Gerenciamento de dados DS12 Gerenciamento das localidades (físicas) DS13 Gerenciamento de operações
Monitoramento
* M1 Monitoramento do Processo* M2 Avaliação da adequação dos controles internos* M3 Obtenção avaliação independente* M4 Disponibilização para auditoria independente
Monitoramento
M1 Monitoramento do Processo M2 Avaliação da adequação dos controles
internos M3 Obtenção avaliação independente M4 Disponibilização para auditoria
independente
Recurs
os de
TI
Qualidade
Credibilidade
Segurança
Critério da InformaçãoP
rocessos d
e T
I
Pe
ss
oa
sS
iste
ma
s A
pli
ca
tiv
os
Da
do
s
Te
cn
olo
gia
Ins
tala
çõ
esDomínios
Processos
Atividades
Cubo COBIT
Princípios do modelo -Cobit
Exigência de qualidade- qualidade, custo, condições de entrega,
Exigências fiduciárias –( Coso report) – Eficácia e eficiência das operações, veracidade das informações, compliance com regulamentos e legislaçao,
Exigências de segurança: confiabilidade, integridade, disponibilidades.
Exposição de riscos mais comuns
Erros de registros Rejeição de registros Interrupção de operações Tomadas de decisões inadequadas Fraudes e vandalismo Sanções legais Desperdicio Utilização inadequada de recursos Imagem Perdas de competividade
Critérios de avaliação do Cobit
Eficácia Eficiência, Confidencialidade, Integridade, Disponibilidade, Compliance Veracidade das informações
Iso 17799
1995 – O BSI – British Standard Institute publicou a BS 7799 – abrangendo assuntos de segurança do e.commerce
Em 1999 – publicou uma nova versão Em 2000 o ISO International Stantard
Organization publicou uma parte da BS 7799 como seu próprio padrão chamando de ISO.
Abrange 10 áreas de controle
Política de segurança Organização da segurança Classificação e controle do patrimônio Segurança dos funcionários Segurança física e ambiental Gerenciamento de operações e comunicações Controle de acesso Manutenção e desenvolvimento de sistemas Gerenciamento e continuidade dos negócios Compatibilidade
O que é a Iso 17799
É uma compilação de recomendação de melhores práticas que pode ser aplicada a qualquer empresa,
Foi criada para ser um padrão flexível, São neutras em relação a tecnologia, Não ajuda na avaliação ou entendimento das
medidas de segurança já existentes, É muito dificil criar um padrão para todos os
variados ambientes de teconologia.
Objetivos
Requisitos de segurança dos sistemas Segurança dos sistemas de aplicação Criptografia Segurança dos arquivos dos sistemas Continuidade das operações Conformidade com as normas
Escopo
Política de segurança da informação Infra estrutura da segurança da informação Segurança de acesso dos prestadores de serviço Terceirização Registro dos ativos Segurança na definição dos recursos de trabalho Treinamento dos usuários Respostas aos incidentes e desvios Áreas de segurança Acesso aos equipamentos Monitoração dos riscos Procedimentos e responsabilidades operacionais Planejamento e aceitação dos sistemas Housekeeping – manter integridade disponibilidade dos seviços
Escopo
Gerenciamento da rede Segurança e tratamento das mídias Troca de informação e softwares Requisitos da operação para controle de acesso, Gerenciamento de acesso dos usuários Responsabilidade dos usuários Controle de acesso a rede Controle de acesso aos sistemas operacionais Controle de acesso às aplicações Monitoração do uso dos sistemas
O QUE FAZER
Definição de uma política de segurança de informação,
Análise de riscos, os controles devem ser apresentados de forma detalhada,
Declaração de aplicação Criação de uma frente gestora para
manutenção do nível de segurança Certificação – é um processo contínuo
O que fazer ?
Plano de gestão do sistema de informação, Criação de uma coordenação pela segurança da informação Administração e controle dos processos incluindo: - Revisão do plano de gestão - Formulários da revisão, - Modo para administração da documentação - Modo para administração das gravações digitais, - Base de controle existente, com formulários de reporte de
ocorrências e análises, -
BENEFÍCIOS
Imagem da organização Evidencia o uso das melhores políticas de gestão Poderá alavancar negócios Terá maior segurança nas informações Planejamento e gerenciamento mais efetivo Auditoria de segurança mais precisa Redução dos riscos legais É uma diretriz de segurança
