A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

COSO COBIT ISO 17799.

PublicouDanilo Soza Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "COSO COBIT ISO 17799."— Transcrição da apresentação:

1 COSO COBIT ISO 17799

2 Objetivos Ampliar um pouco a visão ampla do conceito de controle
Discutir conceitos de controles organizacionais e de IT Algumas das Definições de Controles Internos Discutir sobre ética e cultura de controle Convivência com fraudes e usos indevidos de informações Compreender os objetivos do controle Modelo de controle – Coso, Cobit e NBR 17999 Estrutura de controle Logicamente, neste tempo, esse assuntos serão apresentados de forma superficialsó pra mostrar que existe e para que serve.

3 Várias visões do controle
Manter um automóvel na direção certa ? Não reagir a uma agressão Regular a temperatura de um termostáto ? Verificar seu batimento cardíaco ? Voce tem planos para sua vida ? Manter seus comprovantes do Imposto de Renda ? Não sair num dia chuvoso ? Experimentar molho para ver como está o sal ? O QUE ESTAS ATIVIDADES TEM EM COMUM ?

4 COSO

5 Treadway Commission & COSO
1985 Iniciativa independente do setor privado Baseado em estudo de casos de relatórios de fraudes James Treadway (chair), former SEC commissioner & EVP/Gen. Counsel Paine Webber 1992 – Publicada a Internal Control Integrated Framework Committee of Sponsoring Organizations

6 Commitee of Sposoring Organization
American Institute of Certifield Public Accountants Institute of Internal Auditors American Accouting Asociation Institute of Management Accountants Financial Executives Institute

7 Conceito de controle - coso
Controle é definido como um processo, efetuado pelos membros de uma instituição, (dirigentes, gerentes e outros níveis), desenvolvido para dar razoável garantia de cumprimento dos objetivos das seguintes categorias: 1) Efetividade e eficiência das operações 2) Confiabilidade dos relatórios financeiros 3) Em consonância com as normas e leis Controles intenos são instrumentos que ajudam a gerencia a ser efetiva e eficiente enquanto evitam problemas, minimizam riscos, falhas de sistemas, e violação de leis, nesta visão, controles internos são os procedimentos, politicas, estrutura organizacional que em atuação conjunta buscam fazer com que a organização atinja seus objetivos: ter um sistema de controle interno envolve, ter uma área de planejamento, uma area de controladoria, uma area de auditorias, uma área de normas, uma área de rh, atuando em conjunto com as areas produtivas da organização.

8 Razões para se ter controle ?
Assegurar o alcance de objetivos Minimizar os riscos não previstos Conscientização em relação a imagem Ênfase a governança corporativa Responsabilidade legal dos gestores Evitar fraudes

9 Conceitos do Coso É um processo, significa que é um meio para atingir um determinado fim e não um fim em si mesmo, É influenciado por pessoas, não por normas, políticas, manuais. Espera dar razoável segurança, não segurança absoluta para o gestor, É criado para atingir um ou mais objetivos separados mas se sobrepõe a áreas

10 Atividades de controle Informação e comunicação, Monitoramento
COMPONENTES DO COSO Ambiente de controle Avaliação de risco Atividades de controle Informação e comunicação, Monitoramento

11 Pirâmide coso Monitoração Atividades de controles Avaliação do risco
Informação e comunicação Meio ambiente

12 AMBIENTE DO COSO Integridade e valores éticos Filosofia da gerência
Compromisso com a competência Ação da alta administração Estrutura organizacional Definição das responsabilidades Políticas de RH Conscientização

13 Avaliação do risco Abrangência dos objetivos da organização
Nível dos objetivos das atividade Riscos Gerenciamento dos riscos

14 Avaliação do risco Avaliação de Riscos
O controle interno deve ser capaz de identificar os riscos a que a organização está exposta tanto riscos internos quanto externos identificação deve ser conjugada com uma avaliação da severidade do risco e de seu impacto nas atividades da instituição

15 Atividades de controle
Revisão pela alta administração do plano de controle Gestores funcionais ou Gerentes operacionais, Sistema de informações Controles físicos Indicadores de performance

16 Atividades de controle
Atividade de controle As atividades de controle devem ser realizadas diariamente Não pode prescindir de um sistema de verificação do cumprimento das normas internas e externas (Compliance) A estrutura deve garantir a segregação de funções entre áreas que possa haver conflito de interesse

17 Informações e comunicações
Deve haver um sistema de informações que assegure que a mesma chegue à pessoa certa, na hora certa com a qualidade necessária para execução da tarefa ou da tomada de decisão. Informações válidas Completas Exatas Na hora certa para a pessoa adequada.

18 Monitoramento Um processo contínuo de monitoramento,
Avaliações separadas, Sistema de relatórios das deficiências Tomadas de decisões no final do processo É o mecanismos para constatar se o controle está sendo efetivo.

19 COBIT

20 COBIT Control Objectives for information and Related Tecnology
Desenvolvido e mantido pela IT Governance Institute (ITGI) que faz parte do ISACA –Information Systems Audit and Control Association, publicada a 1.a edição em 1996 e foi baseado num documento chamado Objetivos de Controle do Isaca.

21 COBIT - Visão Geral Controles voltados para os negócios
Controles voltado para área de tecnologia O Cobit busca fazer esta integração visando a TI com os objetivos dos negócios. Tem como característica a incorporação do conceito de controle interno do Coso, aplicando-se na área de tecnologia.

22 Princípios da estrutura Requerimentos de Negócio
Processos de TI Recursos de TI

23 Estrutura do Cobit Domínios – 4
Processo ou níveis de objetivos de controle – 34 Controles detalhados - 318

24 Domínios Planejamento e organização Aquisição e implementação
Entrega e suporte Monitoramento

25 Planejamento e Organização
PO1 Definição plano estratégico TI PO2 Definição arquitetura de informação PO3 Determinação direcionamento tecnológico PO4 Definição organização TI e relacionamentos PO5 Gerenciamento do investimento de TI PO6 Comunicação de objetivos e direcionamento PO7 Gerenciamento de recursos humanos PO8 Assegurar compliance com órgãos externos PO9 Avaliação de riscos PO10 Gerenciamento de Projetos PO11 Gerenciamento da Qualidade

26 Aquisição e Implementação
AI1 Identificar soluções AI2 Aquisição e manutenção sistemas aplicativos AI3 Aquisição e manutenção da arquitetura tecnológica AI4 Desenvolvimento e manutenção procedimentos de TI AI5 Instalação e homologação de sistemas AI6 Gerenciamento de mudanças

27 Entrega e suporte DS1 Definição de níveis de serviço
DS2 Gerenciamento de serviços de terceiros DS3 Gerenciamento de performance e capacidade DS4 Assegurar continuidade dos serviços DS5 Assegurar segurança dos sistemas DS6 Identificar e atribuir custos DS7 Treinamento de usuários DS8 Assessorar os clientes internos de TI DS9 Gerenciamento das configurações DS10 Gerenciamento de problemas e incidentes DS11 Gerenciamento de dados DS12 Gerenciamento das localidades (físicas) DS13 Gerenciamento de operações

28 Monitoramento * M1 Monitoramento do Processo
* M2 Avaliação da adequação dos controles internos * M3 Obtenção avaliação independente * M4 Disponibilização para auditoria independente

29 Monitoramento M1 Monitoramento do Processo
M2 Avaliação da adequação dos controles internos M3 Obtenção avaliação independente M4 Disponibilização para auditoria independente

30 Cubo COBIT Critério da Informação Processos de TI Recursos de TI
Credibilidade Qualidade Segurança Domínios Dados Processos de TI Instalações Recursos de TI Processos Tecnologia Sistemas Aplicativos Pessoas Atividades

31 Princípios do modelo -Cobit
Exigência de qualidade- qualidade, custo, condições de entrega, Exigências fiduciárias –( Coso report) – Eficácia e eficiência das operações, veracidade das informações, compliance com regulamentos e legislaçao, Exigências de segurança: confiabilidade, integridade, disponibilidades.

32 Exposição de riscos mais comuns
Erros de registros Rejeição de registros Interrupção de operações Tomadas de decisões inadequadas Fraudes e vandalismo Sanções legais Desperdicio Utilização inadequada de recursos Imagem Perdas de competividade

33 Critérios de avaliação do Cobit
Eficácia Eficiência, Confidencialidade, Integridade, Disponibilidade, Compliance Veracidade das informações

34 Iso 17799 1995 – O BSI – British Standard Institute publicou a BS 7799 – abrangendo assuntos de segurança do e.commerce Em 1999 – publicou uma nova versão Em 2000 o ISO International Stantard Organization publicou uma parte da BS 7799 como seu próprio padrão chamando de ISO.

35 Abrange 10 áreas de controle
Política de segurança Organização da segurança Classificação e controle do patrimônio Segurança dos funcionários Segurança física e ambiental Gerenciamento de operações e comunicações Controle de acesso Manutenção e desenvolvimento de sistemas Gerenciamento e continuidade dos negócios Compatibilidade

36 O que é a Iso 17799 É uma compilação de recomendação de melhores práticas que pode ser aplicada a qualquer empresa, Foi criada para ser um padrão flexível, São neutras em relação a tecnologia, Não ajuda na avaliação ou entendimento das medidas de segurança já existentes, É muito dificil criar um padrão para todos os variados ambientes de teconologia.

37 Objetivos Requisitos de segurança dos sistemas
Segurança dos sistemas de aplicação Criptografia Segurança dos arquivos dos sistemas Continuidade das operações Conformidade com as normas

38 Escopo Política de segurança da informação
Infra estrutura da segurança da informação Segurança de acesso dos prestadores de serviço Terceirização Registro dos ativos Segurança na definição dos recursos de trabalho Treinamento dos usuários Respostas aos incidentes e desvios Áreas de segurança Acesso aos equipamentos Monitoração dos riscos Procedimentos e responsabilidades operacionais Planejamento e aceitação dos sistemas Housekeeping – manter integridade disponibilidade dos seviços

39 Escopo Gerenciamento da rede Segurança e tratamento das mídias
Troca de informação e softwares Requisitos da operação para controle de acesso, Gerenciamento de acesso dos usuários Responsabilidade dos usuários Controle de acesso a rede Controle de acesso aos sistemas operacionais Controle de acesso às aplicações Monitoração do uso dos sistemas

40 O QUE FAZER Definição de uma política de segurança de informação,
Análise de riscos, os controles devem ser apresentados de forma detalhada, Declaração de aplicação Criação de uma frente gestora para manutenção do nível de segurança Certificação – é um processo contínuo

41 O que fazer ? Plano de gestão do sistema de informação,
Criação de uma coordenação pela segurança da informação Administração e controle dos processos incluindo: - Revisão do plano de gestão - Formulários da revisão, - Modo para administração da documentação - Modo para administração das gravações digitais, - Base de controle existente, com formulários de reporte de ocorrências e análises, -

42 BENEFÍCIOS Imagem da organização
Evidencia o uso das melhores políticas de gestão Poderá alavancar negócios Terá maior segurança nas informações Planejamento e gerenciamento mais efetivo Auditoria de segurança mais precisa Redução dos riscos legais É uma diretriz de segurança

Carregar ppt "COSO COBIT ISO 17799."

Apresentações semelhantes

- ITIL - IT Infrastructure Library Central de Serviços – Service Desk

- ITIL - IT Infrastructure Library Central de Serviços – Service Desk
Prof. Dr. Jorge H C Fernandes Departamento de Ciência da Computação

Prof. Dr. Jorge H C Fernandes Departamento de Ciência da Computação
Professor: Eduardo Teles Análise e Desenvolvimento de Sistemas

Professor: Eduardo Teles Análise e Desenvolvimento de Sistemas
S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica

S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica
Administração e segurança de redes

Administração e segurança de redes
Administração e segurança de redes

Administração e segurança de redes
ISO Processos do Ciclo de Vida do Software

ISO Processos do Ciclo de Vida do Software
SISTEMAS DE GESTÃO AMBIENTAL (SGA).

SISTEMAS DE GESTÃO AMBIENTAL (SGA).
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
Código de Prática para a Gestão de Segurança de Informação.

Código de Prática para a Gestão de Segurança de Informação.
PREVENÇÃO À LAVAGEM DE DINHEIRO E CONTROLES INTERNOS

PREVENÇÃO À LAVAGEM DE DINHEIRO E CONTROLES INTERNOS
Control Objectives for Information and related Technology

Control Objectives for Information and related Technology
Infraestrutura de tecnologia da informação

Infraestrutura de tecnologia da informação
Código de Ética – Auditoria de Sistemas

Código de Ética – Auditoria de Sistemas
FORMAÇÃO DE AUDITORES INTERNOS RONALDO COSTA RODRIGUES

FORMAÇÃO DE AUDITORES INTERNOS RONALDO COSTA RODRIGUES
EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ

EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ
Auditoria de Sistemas Aula 1.

Auditoria de Sistemas Aula 1.
GTI Claudia Salles Haddad

GTI Claudia Salles Haddad
Lei Sarbanes Oxley – SOx - Abordagem para a auditoria de controles internos com enfoque em sistemas Abril de 2005.

Lei Sarbanes Oxley – SOx - Abordagem para a auditoria de controles internos com enfoque em sistemas Abril de 2005.
Tópicos Avançados em Sistemas de Informação

Tópicos Avançados em Sistemas de Informação

Apresentações semelhantes

Anúncios Google