A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas.

Apresentações semelhantes


Apresentação em tema: "COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas."— Transcrição da apresentação:

1 COSO COBIT ISO 17799

2 Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas das Definições de Controles Internos Discutir sobre ética e cultura de controle Convivência com fraudes e usos indevidos de informações Compreender os objetivos do controle Modelo de controle – Coso, Cobit e NBR Estrutura de controle

3 Várias visões do controle Manter um automóvel na direção certa ? Não reagir a uma agressão Regular a temperatura de um termostáto ? Verificar seu batimento cardíaco ? Voce tem planos para sua vida ? Manter seus comprovantes do Imposto de Renda ? Não sair num dia chuvoso ? Experimentar molho para ver como está o sal ? O QUE ESTAS ATIVIDADES TEM EM COMUM ?

4 COSO

5 Treadway Commission & COSO – Treadway Commission 1985 Iniciativa independente do setor privado Baseado em estudo de casos de relatórios de fraudes James Treadway (chair), former SEC commissioner & EVP/Gen. Counsel Paine Webber 1992 – Publicada a Internal Control Integrated Framework – Committee of Sponsoring Organizations

6 Commitee of Sposoring Organization American Institute of Certifield Public Accountants Institute of Internal Auditors American Accouting Asociation Institute of Management Accountants Financial Executives Institute

7 Conceito de controle - coso Controle é definido como um processo, efetuado pelos membros de uma instituição, (dirigentes, gerentes e outros níveis), desenvolvido para dar razoável garantia de cumprimento dos objetivos das seguintes categorias: 1) Efetividade e eficiência das operações 2) Confiabilidade dos relatórios financeiros 3) Em consonância com as normas e leis

8 Razões para se ter controle ? Assegurar o alcance de objetivos Minimizar os riscos não previstos Conscientização em relação a imagem Ênfase a governança corporativa Responsabilidade legal dos gestores Evitar fraudes

9 Conceitos do Coso É um processo, significa que é um meio para atingir um determinado fim e não um fim em si mesmo, É influenciado por pessoas, não por normas, políticas, manuais. Espera dar razoável segurança, não segurança absoluta para o gestor, É criado para atingir um ou mais objetivos separados mas se sobrepõe a áreas

10 COMPONENTES DO COSO Ambiente de controle Avaliação de risco Atividades de controle Informação e comunicação, Monitoramento

11 Pirâmide coso Monitoração Atividades de controles Avaliação do risco Informação e comunicação Meio ambiente

12 AMBIENTE DO COSO Integridade e valores éticos Filosofia da gerência Compromisso com a competência Ação da alta administração Estrutura organizacional Definição das responsabilidades Políticas de RH Conscientização

13 Avaliação do risco Abrangência dos objetivos da organização Nível dos objetivos das atividade Riscos Gerenciamento dos riscos

14 Avaliação do risco Avaliação de Riscos – O controle interno deve ser capaz de identificar os riscos a que a organização está exposta tanto riscos internos quanto externos – identificação deve ser conjugada com uma avaliação da severidade do risco e de seu impacto nas atividades da instituição

15 Atividades de controle Revisão pela alta administração do plano de controle Gestores funcionais ou Gerentes operacionais, Sistema de informações Controles físicos Indicadores de performance

16 Atividades de controle Atividade de controle – As atividades de controle devem ser realizadas diariamente Compliance – Não pode prescindir de um sistema de verificação do cumprimento das normas internas e externas (Compliance) – A estrutura deve garantir a segregação de funções entre áreas que possa haver conflito de interesse

17 Informações e comunicações Deve haver um sistema de informações que assegure que a mesma chegue à pessoa certa, na hora certa com a qualidade necessária para execução da tarefa ou da tomada de decisão. Informações válidas Completas Exatas Na hora certa para a pessoa adequada.

18 Monitoramento Um processo contínuo de monitoramento, Avaliações separadas, Sistema de relatórios das deficiências Tomadas de decisões no final do processo É o mecanismos para constatar se o controle está sendo efetivo.

19 COBIT

20 Control Objectives for information and Related Tecnology Desenvolvido e mantido pela IT Governance Institute (ITGI) que faz parte do ISACA –Information Systems Audit and Control Association, publicada a 1.a edição em 1996 e foi baseado num documento chamado Objetivos de Controle do Isaca.

21 COBIT - Visão Geral Controles voltados para os negócios Controles voltado para área de tecnologia O Cobit busca fazer esta integração visando a TI com os objetivos dos negócios. Tem como característica a incorporação do conceito de controle interno do Coso, aplicando-se na área de tecnologia.

22 Princípios da estrutura Requerimentos de Negócio Processos de TI Recursos de TI

23 Estrutura do Cobit Domínios – 4 Processo ou níveis de objetivos de controle – 34 Controles detalhados - 318

24 Domínios Planejamento e organização Aquisição e implementação Entrega e suporte Monitoramento

25 Planejamento e Organização PO1 Definição plano estratégico TI PO2 Definição arquitetura de informação PO3 Determinação direcionamento tecnológico PO4 Definição organização TI e relacionamentos PO5 Gerenciamento do investimento de TI PO6 Comunicação de objetivos e direcionamento PO7 Gerenciamento de recursos humanos PO8 Assegurar compliance com órgãos externos PO9 Avaliação de riscos PO10 Gerenciamento de Projetos PO11 Gerenciamento da Qualidade

26 Aquisição e Implementação AI1 Identificar soluções AI2 Aquisição e manutenção sistemas aplicativos AI3 Aquisição e manutenção da arquitetura tecnológica AI4 Desenvolvimento e manutenção procedimentos de TI AI5 Instalação e homologação de sistemas AI6 Gerenciamento de mudanças

27 Entrega e suporte DS1 Definição de níveis de serviço DS2 Gerenciamento de serviços de terceiros DS3 Gerenciamento de performance e capacidade DS4 Assegurar continuidade dos serviços DS5 Assegurar segurança dos sistemas DS6 Identificar e atribuir custos DS7 Treinamento de usuários DS8 Assessorar os clientes internos de TI DS9 Gerenciamento das configurações DS10 Gerenciamento de problemas e incidentes DS11 Gerenciamento de dados DS12 Gerenciamento das localidades (físicas) DS13 Gerenciamento de operações

28 Monitoramento * M1 Monitoramento do Processo * M2 Avaliação da adequação dos controles internos * M3 Obtenção avaliação independente * M4 Disponibilização para auditoria independente

29 Monitoramento M1 Monitoramento do Processo M2 Avaliação da adequação dos controles internos M3 Obtenção avaliação independente M4 Disponibilização para auditoria independente

30 Recursos de TI Qualidade Credibilidade Segurança Critério da Informação Processos de TI Pessoas Sistemas Aplicativos Dados Tecnologia Instalações Domínios Processos Atividades Cubo C OBI T

31 Princípios do modelo -Cobit Exigência de qualidade- qualidade, custo, condições de entrega, Exigências fiduciárias –( Coso report) – Eficácia e eficiência das operações, veracidade das informações, compliance com regulamentos e legislaçao, Exigências de segurança: confiabilidade, integridade, disponibilidades.

32 Exposição de riscos mais comuns Erros de registros Rejeição de registros Interrupção de operações Tomadas de decisões inadequadas Fraudes e vandalismo Sanções legais Desperdicio Utilização inadequada de recursos Imagem Perdas de competividade

33 Critérios de avaliação do Cobit Eficácia Eficiência, Confidencialidade, Integridade, Disponibilidade, Compliance Veracidade das informações

34 Iso – O BSI – British Standard Institute publicou a BS 7799 – abrangendo assuntos de segurança do e.commerce Em 1999 – publicou uma nova versão Em 2000 o ISO International Stantard Organization publicou uma parte da BS 7799 como seu próprio padrão chamando de ISO.

35 Abrange 10 áreas de controle Política de segurança Organização da segurança Classificação e controle do patrimônio Segurança dos funcionários Segurança física e ambiental Gerenciamento de operações e comunicações Controle de acesso Manutenção e desenvolvimento de sistemas Gerenciamento e continuidade dos negócios Compatibilidade

36 O que é a Iso É uma compilação de recomendação de melhores práticas que pode ser aplicada a qualquer empresa, Foi criada para ser um padrão flexível, São neutras em relação a tecnologia, Não ajuda na avaliação ou entendimento das medidas de segurança já existentes, É muito dificil criar um padrão para todos os variados ambientes de teconologia.

37 Objetivos Requisitos de segurança dos sistemas Segurança dos sistemas de aplicação Criptografia Segurança dos arquivos dos sistemas Continuidade das operações Conformidade com as normas

38 Escopo Política de segurança da informação Infra estrutura da segurança da informação Segurança de acesso dos prestadores de serviço Terceirização Registro dos ativos Segurança na definição dos recursos de trabalho Treinamento dos usuários Respostas aos incidentes e desvios Áreas de segurança Acesso aos equipamentos Monitoração dos riscos Procedimentos e responsabilidades operacionais Planejamento e aceitação dos sistemas Housekeeping – manter integridade disponibilidade dos seviços

39 Escopo Gerenciamento da rede Segurança e tratamento das mídias Troca de informação e softwares Requisitos da operação para controle de acesso, Gerenciamento de acesso dos usuários Responsabilidade dos usuários Controle de acesso a rede Controle de acesso aos sistemas operacionais Controle de acesso às aplicações Monitoração do uso dos sistemas

40 O QUE FAZER Definição de uma política de segurança de informação, Análise de riscos, os controles devem ser apresentados de forma detalhada, Declaração de aplicação Criação de uma frente gestora para manutenção do nível de segurança Certificação – é um processo contínuo

41 O que fazer ? Plano de gestão do sistema de informação, Criação de uma coordenação pela segurança da informação Administração e controle dos processos incluindo: - Revisão do plano de gestão - Formulários da revisão, - Modo para administração da documentação - Modo para administração das gravações digitais, - Base de controle existente, com formulários de reporte de ocorrências e análises, -

42 BENEFÍCIOS Imagem da organização Evidencia o uso das melhores políticas de gestão Poderá alavancar negócios Terá maior segurança nas informações Planejamento e gerenciamento mais efetivo Auditoria de segurança mais precisa Redução dos riscos legais É uma diretriz de segurança


Carregar ppt "COSO COBIT ISO 17799. Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas."

Apresentações semelhantes


Anúncios Google