sox - cmmi

Download sox - cmmi

Post on 05-Jan-2016

6 views

Category:

Documents

0 download

Embed Size (px)

DESCRIPTION

Aula de Governana de TI

TRANSCRIPT

<ul><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 1 </p><p>SOXSOX </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 2 </p><p>Lei SarbanesLei Sarbanes--OxleyOxley </p><p> Governana Corporativa </p><p> Resultados Financeiros </p><p> Controles </p><p> Auditoria </p><p> Mercado </p><p>EMPRESA </p><p>EMPRESA </p><p>EMPRESA </p><p>EMPRESA </p><p>EMPRESA </p><p>MERCADOMERCADO </p><p>USAUSA </p><p>MERCADOMERCADO </p><p>OUTROSOUTROS </p><p>PASESPASES </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 3 </p><p> Fraudes e Crimes FinanceirosFraudes e Crimes Financeiros </p><p> Grande Stress no pas </p><p> Grande presena da mdia </p><p> Auditorias governamentais </p><p> Processo na Justia (envolvidos) </p><p> Srios problemas com as empresas envolvidas </p><p> Perdas para os acionistas </p><p> Desemprego </p><p> Descrdito geral do mercado (Bolsa e instituies) </p><p>Lei SarbanesLei Sarbanes--OxleyOxley </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 4 </p><p> Sarbanes e Oxley Senadores americanos </p><p> Desenvolveram e aprovaram uma lei no Senado (2002) </p><p> Define regras de governana corporativa </p><p> Define controles a serem implementados </p><p> Define responsabilidades nas empresas </p><p> Define critrios para auditorias </p><p> Define tipos e formas de punies </p><p> Abrangncia da Lei USA e suas filiais no mundo </p><p>Lei SarbanesLei Sarbanes--OxleyOxley </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 5 </p><p> Seo 302Seo 302 - Diretores Executivos e Diretores financeiros so </p><p> explicitamente responsveis por estabelecer, avaliar </p><p> e monitorar a eficcia dos controles internos sobre </p><p> os relatrios e divulgaes financeiras. </p><p> Seo 404Seo 404 Avaliao anual dos controles e procedimentos </p><p> internos para a emisso dos relatrios </p><p> financeiros (empresa). Um auditor independente </p><p> emitir um relatrio distinto que ateste a assero </p><p> da administrao sobre a eficcia dos controles e </p><p> procedimentos. </p><p> Seo 906Seo 906 .... Multas de at US$ 5 Milhes e at 20 anos de </p><p> priso. </p><p>Lei SarbanesLei Sarbanes--OxleyOxley </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 6 </p><p>Committee of Sponsoring </p><p>Organizations of the </p><p>Treadway Commission </p><p> Tem um padro para controles que tem sido recomendado. </p><p> Definiu o conceito de controles </p><p> 5 componentes do COSO : </p><p>1. Ambiente de Controle </p><p>2. Avaliao de Risco </p><p>3. Atividades de Controle </p><p>4. Informaes e Comunicaes </p><p>5. Monitoramento </p><p>Ambiente de ControleAmbiente de Controle Integridade e Valores ticos Compromisso com Competncia Filosofia e Estilo Operacional Estrutura Organizacional Alocao de Autoridade e Responsabilidades Diretrizes e Prticas de Recursos Humanos </p><p>Avaliao de RiscoAvaliao de Risco Objetivos de toda a Entidade e de Atividades Sistemas de Informtica (Sistemas de Gesto) Gesto de Mudanas </p><p>Atividades de ControleAtividades de Controle Diretrizes, Procedimentos, Prticas Bens de Capital </p><p>Informaes e ComunicaesInformaes e Comunicaes Qualidade das Informaes Formas de Comunicaes </p><p>MonitoramentoMonitoramento Monitoramento Contnuo Avaliaes Individuais </p><p>Lei SarbanesLei Sarbanes--OxleyOxley </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 7 </p><p>Enterprise Risk Management Enterprise Risk Management Integrated Framework Integrated Framework </p><p>Lei SarbanesLei Sarbanes--OxleyOxley </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 8 </p><p>Enterprise Risk Management Enterprise Risk Management Integrated Framework Integrated Framework </p><p>Control It </p><p>Share or </p><p>Transfer It </p><p>Diversify or </p><p>Avoid It </p><p>Risk </p><p>Management </p><p>Process </p><p>Level </p><p>Activity </p><p>Level </p><p>Entity Level </p><p>Risk </p><p>Monitoring </p><p>Identification </p><p>Measurement </p><p>Prioritization </p><p>Risk </p><p>Assessment </p><p>Risk Analysis </p><p>Lei SarbanesLei Sarbanes--OxleyOxley </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 9 </p><p>Roteiro para implementao da SOX:Roteiro para implementao da SOX: </p><p> Mapeamento dos processos chaves que impactam as Demonstraes Financeiras. </p><p> Verificao dos controles existentes nos processos. </p><p> Verificao da suficincia dos controles. </p><p> Testes dos controles. </p><p> Documentao das evidencias dos testes. </p><p> Planos de ao de correo de deficincias. </p><p> Responsveis pelas aes corretivas. </p><p>Lei SarbanesLei Sarbanes--OxleyOxley </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 10 </p><p>CMMICMMI </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 11 </p><p>CMMI CMMI -- CapabilityCapability MaturityMaturity ModelModel IntegrationIntegration </p><p>SWSW--CMM (CMM (Software Software CapabilityCapability MaturityMaturity ModelModel):): este modelo provia informaes </p><p>para o aprimoramento de processos de desenvolvimento de software, </p><p>apresentando as prticas chave para que as empresas pudessem atingir um maior </p><p>nvel de maturidade. </p><p>SESE--CMM (CMM (Systems Systems EngineeringEngineering CapabilityCapability MaturityMaturity ModelModel):): este modelo provia </p><p>informaes sobre os elementos necessrios para a implantao de um adequado </p><p>processo de engenharia de sistemas nas empresas. </p><p>IPDIPD--CMM (CMM (IntegratedIntegrated ProductProduct DevelopmentDevelopment CapabilityCapability MaturityMaturity ModelModel):): este </p><p>modelo provia informaes para o aprimoramento de processos de </p><p>desenvolvimento que exigem a integrao de mltiplas disciplinas ao longo do </p><p>ciclo de vida do produto, de forma a atender as necessidades do cliente. </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 12 </p><p>CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration No ano de 2001, estes trs modelos de maturidade descritos anteriormente </p><p>foram integrados em um modelo mais abrangente, denominado CMMI </p><p>(Capability Maturity Model Integration). A partir desta integrao, os trs </p><p>modelos deixaram de ser mantidos pelo SEI. (Software Engineering Institute) </p><p>5. Otimizado </p><p>4. Gerencivel </p><p>3. Definido </p><p>2. Repetvel </p><p>1. Inicial </p><p>Controle Bsico </p><p>de </p><p>Gerenciamento </p><p>Definio do </p><p>Processo </p><p>Medio do </p><p>Processo </p><p>Controle do </p><p>Processo </p><p>Nveis de </p><p>Maturidade </p><p>de Processo </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 13 </p><p>CMMICMMI </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 14 </p><p>CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration </p><p>Nvel 1: Inicial </p><p> Organizaes que se encontram no nvel 1 do CMMI, esto no estgio Inicial, </p><p>onde os processos so caticos e definidos como ad hoc [1]. </p><p>O ambiente de desenvolvimento instvel e apesar de geralmente obterem </p><p>o produto final desejado, parmetros como prazo e custo do projeto so </p><p>freqentemente maiores do que o esperado. </p><p>[1] Processos classificados como ad hoc so aqueles realizados sem planejamento prvio, sem preparao. </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 15 </p><p>CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration </p><p>Nvel 2: Repetvel ou Gerenciado </p><p> Para prosseguir do nvel 1 para o nvel 2, Repetvel, a organizao deve </p><p>passar a utilizar processos bsicos de gerncia de projetos no sentido de </p><p>controlar basicamente os custos, prazos e funcionalidades do software </p><p>durante o processo de desenvolvimento ao longo do projeto. </p><p>As atividades a serem desenvolvidas no projeto so devidamente planejadas </p><p>e documentadas com o acompanhamento da execuo e das mtricas de </p><p>controle. O objetivo de se manter um processo controlado est em executar </p><p>as prticas planejadas inclusive nos momentos mais crticos do projeto. Alm </p><p>disso, os procedimentos planejados podem ser repetidos em outros projetos. </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 16 </p><p>CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration </p><p>Nvel 2: Repetvel </p><p>Gerncia de Requisitos </p><p>Planejamento de Projeto </p><p>Controle e Monitoramento de Projeto </p><p>Gerncia de Contrato de Fornecedores </p><p>Medio e Anlise </p><p>Garantia de Qualidade do Processo e do Produto </p><p>Gerncia de Configurao </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 17 </p><p>CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration </p><p>Nvel 3: Definido </p><p> Uma organizao classifica-se no nvel 3 de maturidade quando, alm de </p><p>desenvolver todas as atividades de gerncia, planejamento, </p><p>desenvolvimento, medio e controle contidos no nvel 2, os processos </p><p>passam a ser desenvolvidos com base em padres, procedimentos, </p><p>ferramentas e mtodos. Alm disso, no nvel Definido os processos so </p><p>estruturados de forma mais detalhada do que no nvel Repetvel anterior. </p><p>Os padres de processos estabelecidos neste nvel de maturidade so tanto </p><p>aplicveis para um determinado projeto de software, quanto para diferentes </p><p>projetos desenvolvidos em toda a organizao. O mesmo no ocorre em </p><p>organizaes no nvel Repetvel, onde os padres de processo estabelecidos </p><p>so geralmente particulares a um projeto. </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 18 </p><p>CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration </p><p>Nvel 3: Definido </p><p>Desenvolvimento de Requisitos </p><p>Soluo Tcnica </p><p>Integrao do Produto </p><p>Verificao </p><p>Validao </p><p>Foco do Processo Organizacional </p><p>Definio do Processo Organizacional </p><p>Treinamento Organizacional </p><p>Gerncia Integrada de Projeto </p><p>Gerncia de Riscos </p><p>Anlise de Deciso e Resoluo </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 19 </p><p>CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration </p><p>Nvel 4: Gerencivel ou gerenciado quantitativamente </p><p> Uma organizao classifica-se no nvel 4 de maturidade quando, alm de </p><p>desenvolver todas as atividades de padronizaes contidas no nvel 3, so </p><p>realizados controle quantitativos de qualidade e desempenho do processo. </p><p>Aplica-se uma gerncia mais detalhada de mtricas e estatsticas, de forma </p><p>que se estabelea uma base de controle quantitativo de todo o processo de </p><p>desenvolvimento de software. </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 20 </p><p>CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration </p><p>Nvel 4: Gerencivel </p><p>Desempenho do Processo Organizacional </p><p>Gerncia Quantitativa de Projeto </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 21 </p><p>CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration </p><p>Nvel 5: Otimizado </p><p> Uma organizao classifica-se no nvel 5 de maturidade quando, alm de </p><p>desenvolver controles quantitativos de qualidade e desempenho contidos no </p><p>nvel 4, promove o aperfeioamento do processo de desenvolvimento de </p><p>software a partir dos planos de qualidade e das mtricas obtidas em </p><p>avaliaes dos processos. As atividades desenvolvidas ao longo dos processos </p><p>so avaliadas de forma a prover dados significativos passveis de serem </p><p>analisados. A partir destas anlises identificam-se os pontos do processo que </p><p>podem ser aprimorados com base na experincia, nas lies aprendidas. </p><p>Diferentemente do nvel Gerencivel, onde a anlise quantitativa aplicada </p><p>para o aprimoramento de projetos individuais, no nvel Otimizado analisam-</p><p>se os resultados de diversos projetos e identificam-se melhorias a serem </p><p>introduzidas no processo geral da organizao, de forma que possam ser </p><p>aplicadas em qualquer projeto e no somente em um projeto especfico. </p></li><li><p>Governana de Tecnologia da Informao </p><p>Prof Gislaine Stachissini 22 </p><p>CMMI CMMI -- Capability Maturity Model Integration Capability Maturity Model Integration </p><p>Nvel 5: Otimizado </p><p>Inovao Organizacional e Implantao </p><p>Anlise Causal e Resoluo </p></li></ul>