COSO COBIT ISO 17799

Objetivos Ampliar um pouco a visão ampla do conceito de controle Discutir conceitos de controles organizacionais e de IT Algumas das Definições de Controles Internos Discutir sobre ética e cultura de controle Convivência com fraudes e usos indevidos de informações Compreender os objetivos do controle Modelo de controle – Coso, Cobit e NBR 17999 Estrutura de controle Logicamente, neste tempo, esse assuntos serão apresentados de forma superficialsó pra mostrar que existe e para que serve.

Várias visões do controle Manter um automóvel na direção certa ? Não reagir a uma agressão Regular a temperatura de um termostáto ? Verificar seu batimento cardíaco ? Voce tem planos para sua vida ? Manter seus comprovantes do Imposto de Renda ? Não sair num dia chuvoso ? Experimentar molho para ver como está o sal ? O QUE ESTAS ATIVIDADES TEM EM COMUM ?

COSO

Treadway Commission & COSO 1985 Iniciativa independente do setor privado Baseado em estudo de casos de relatórios de fraudes James Treadway (chair), former SEC commissioner & EVP/Gen. Counsel Paine Webber 1992 – Publicada a Internal Control Integrated Framework Committee of Sponsoring Organizations

Commitee of Sposoring Organization American Institute of Certifield Public Accountants Institute of Internal Auditors American Accouting Asociation Institute of Management Accountants Financial Executives Institute

Conceito de controle - coso Controle é definido como um processo, efetuado pelos membros de uma instituição, (dirigentes, gerentes e outros níveis), desenvolvido para dar razoável garantia de cumprimento dos objetivos das seguintes categorias: 1) Efetividade e eficiência das operações 2) Confiabilidade dos relatórios financeiros 3) Em consonância com as normas e leis Controles intenos são instrumentos que ajudam a gerencia a ser efetiva e eficiente enquanto evitam problemas, minimizam riscos, falhas de sistemas, e violação de leis, nesta visão, controles internos são os procedimentos, politicas, estrutura organizacional que em atuação conjunta buscam fazer com que a organização atinja seus objetivos: ter um sistema de controle interno envolve, ter uma área de planejamento, uma area de controladoria, uma area de auditorias, uma área de normas, uma área de rh, atuando em conjunto com as areas produtivas da organização.

Razões para se ter controle ? Assegurar o alcance de objetivos Minimizar os riscos não previstos Conscientização em relação a imagem Ênfase a governança corporativa Responsabilidade legal dos gestores Evitar fraudes

Conceitos do Coso É um processo, significa que é um meio para atingir um determinado fim e não um fim em si mesmo, É influenciado por pessoas, não por normas, políticas, manuais. Espera dar razoável segurança, não segurança absoluta para o gestor, É criado para atingir um ou mais objetivos separados mas se sobrepõe a áreas

Atividades de controle Informação e comunicação, Monitoramento COMPONENTES DO COSO Ambiente de controle Avaliação de risco Atividades de controle Informação e comunicação, Monitoramento

Pirâmide coso Monitoração Atividades de controles Avaliação do risco Informação e comunicação Meio ambiente

AMBIENTE DO COSO Integridade e valores éticos Filosofia da gerência Compromisso com a competência Ação da alta administração Estrutura organizacional Definição das responsabilidades Políticas de RH Conscientização

Avaliação do risco Abrangência dos objetivos da organização Nível dos objetivos das atividade Riscos Gerenciamento dos riscos

Avaliação do risco Avaliação de Riscos O controle interno deve ser capaz de identificar os riscos a que a organização está exposta tanto riscos internos quanto externos identificação deve ser conjugada com uma avaliação da severidade do risco e de seu impacto nas atividades da instituição

Atividades de controle Revisão pela alta administração do plano de controle Gestores funcionais ou Gerentes operacionais, Sistema de informações Controles físicos Indicadores de performance

Atividades de controle Atividade de controle As atividades de controle devem ser realizadas diariamente Não pode prescindir de um sistema de verificação do cumprimento das normas internas e externas (Compliance) A estrutura deve garantir a segregação de funções entre áreas que possa haver conflito de interesse

Informações e comunicações Deve haver um sistema de informações que assegure que a mesma chegue à pessoa certa, na hora certa com a qualidade necessária para execução da tarefa ou da tomada de decisão. Informações válidas Completas Exatas Na hora certa para a pessoa adequada.

Monitoramento Um processo contínuo de monitoramento, Avaliações separadas, Sistema de relatórios das deficiências Tomadas de decisões no final do processo É o mecanismos para constatar se o controle está sendo efetivo.

COBIT

COBIT Control Objectives for information and Related Tecnology Desenvolvido e mantido pela IT Governance Institute (ITGI) que faz parte do ISACA –Information Systems Audit and Control Association, publicada a 1.a edição em 1996 e foi baseado num documento chamado Objetivos de Controle do Isaca.

COBIT - Visão Geral Controles voltados para os negócios Controles voltado para área de tecnologia O Cobit busca fazer esta integração visando a TI com os objetivos dos negócios. Tem como característica a incorporação do conceito de controle interno do Coso, aplicando-se na área de tecnologia.

Princípios da estrutura Requerimentos de Negócio Processos de TI Recursos de TI

Estrutura do Cobit Domínios – 4 Processo ou níveis de objetivos de controle – 34 Controles detalhados - 318

Domínios Planejamento e organização Aquisição e implementação Entrega e suporte Monitoramento

Planejamento e Organização PO1 Definição plano estratégico TI PO2 Definição arquitetura de informação PO3 Determinação direcionamento tecnológico PO4 Definição organização TI e relacionamentos PO5 Gerenciamento do investimento de TI PO6 Comunicação de objetivos e direcionamento PO7 Gerenciamento de recursos humanos PO8 Assegurar compliance com órgãos externos PO9 Avaliação de riscos PO10 Gerenciamento de Projetos PO11 Gerenciamento da Qualidade

Aquisição e Implementação AI1 Identificar soluções AI2 Aquisição e manutenção sistemas aplicativos AI3 Aquisição e manutenção da arquitetura tecnológica AI4 Desenvolvimento e manutenção procedimentos de TI AI5 Instalação e homologação de sistemas AI6 Gerenciamento de mudanças

Entrega e suporte DS1 Definição de níveis de serviço DS2 Gerenciamento de serviços de terceiros DS3 Gerenciamento de performance e capacidade DS4 Assegurar continuidade dos serviços DS5 Assegurar segurança dos sistemas DS6 Identificar e atribuir custos DS7 Treinamento de usuários DS8 Assessorar os clientes internos de TI DS9 Gerenciamento das configurações DS10 Gerenciamento de problemas e incidentes DS11 Gerenciamento de dados DS12 Gerenciamento das localidades (físicas) DS13 Gerenciamento de operações

Monitoramento * M1 Monitoramento do Processo * M2 Avaliação da adequação dos controles internos * M3 Obtenção avaliação independente * M4 Disponibilização para auditoria independente

Monitoramento M1 Monitoramento do Processo M2 Avaliação da adequação dos controles internos M3 Obtenção avaliação independente M4 Disponibilização para auditoria independente

Cubo COBIT Critério da Informação Processos de TI Recursos de TI Credibilidade Qualidade Segurança Domínios Dados Processos de TI Instalações Recursos de TI Processos Tecnologia Sistemas Aplicativos Pessoas Atividades

Princípios do modelo -Cobit Exigência de qualidade- qualidade, custo, condições de entrega, Exigências fiduciárias –( Coso report) – Eficácia e eficiência das operações, veracidade das informações, compliance com regulamentos e legislaçao, Exigências de segurança: confiabilidade, integridade, disponibilidades.

Exposição de riscos mais comuns Erros de registros Rejeição de registros Interrupção de operações Tomadas de decisões inadequadas Fraudes e vandalismo Sanções legais Desperdicio Utilização inadequada de recursos Imagem Perdas de competividade

Critérios de avaliação do Cobit Eficácia Eficiência, Confidencialidade, Integridade, Disponibilidade, Compliance Veracidade das informações

Iso 17799 1995 – O BSI – British Standard Institute publicou a BS 7799 – abrangendo assuntos de segurança do e.commerce Em 1999 – publicou uma nova versão Em 2000 o ISO International Stantard Organization publicou uma parte da BS 7799 como seu próprio padrão chamando de ISO.

Abrange 10 áreas de controle Política de segurança Organização da segurança Classificação e controle do patrimônio Segurança dos funcionários Segurança física e ambiental Gerenciamento de operações e comunicações Controle de acesso Manutenção e desenvolvimento de sistemas Gerenciamento e continuidade dos negócios Compatibilidade

O que é a Iso 17799 É uma compilação de recomendação de melhores práticas que pode ser aplicada a qualquer empresa, Foi criada para ser um padrão flexível, São neutras em relação a tecnologia, Não ajuda na avaliação ou entendimento das medidas de segurança já existentes, É muito dificil criar um padrão para todos os variados ambientes de teconologia.

Objetivos Requisitos de segurança dos sistemas Segurança dos sistemas de aplicação Criptografia Segurança dos arquivos dos sistemas Continuidade das operações Conformidade com as normas

Escopo Política de segurança da informação Infra estrutura da segurança da informação Segurança de acesso dos prestadores de serviço Terceirização Registro dos ativos Segurança na definição dos recursos de trabalho Treinamento dos usuários Respostas aos incidentes e desvios Áreas de segurança Acesso aos equipamentos Monitoração dos riscos Procedimentos e responsabilidades operacionais Planejamento e aceitação dos sistemas Housekeeping – manter integridade disponibilidade dos seviços

Escopo Gerenciamento da rede Segurança e tratamento das mídias Troca de informação e softwares Requisitos da operação para controle de acesso, Gerenciamento de acesso dos usuários Responsabilidade dos usuários Controle de acesso a rede Controle de acesso aos sistemas operacionais Controle de acesso às aplicações Monitoração do uso dos sistemas

O QUE FAZER Definição de uma política de segurança de informação, Análise de riscos, os controles devem ser apresentados de forma detalhada, Declaração de aplicação Criação de uma frente gestora para manutenção do nível de segurança Certificação – é um processo contínuo

O que fazer ? Plano de gestão do sistema de informação, Criação de uma coordenação pela segurança da informação Administração e controle dos processos incluindo: - Revisão do plano de gestão - Formulários da revisão, - Modo para administração da documentação - Modo para administração das gravações digitais, - Base de controle existente, com formulários de reporte de ocorrências e análises, -

BENEFÍCIOS Imagem da organização Evidencia o uso das melhores políticas de gestão Poderá alavancar negócios Terá maior segurança nas informações Planejamento e gerenciamento mais efetivo Auditoria de segurança mais precisa Redução dos riscos legais É uma diretriz de segurança